• Etikete göre arama

  • Kanun maddesine göre arama

  • Sektöre göre arama

  • Filtreleri Temizle
Arama sonuçlarınla ilgili GDPR kararlarını görmek ister misin?

2020/542

16/07/2020

Konu: Aynı gerçek kişinin, yurt dışında yerleşik birden fazla veri sorumlusu için irtibat kişisi olarak atanması hakkındaki görüş talebi ile ilgili.

Kararı Paylaşın

Karar Özeti:

Kurulun yapmış olduğu incelemeler sonucunda; Bir gerçek kişinin, yurt içinde yerleşik birden fazla veri sorumlusu için irtibat kişisi olarak atanmasının uygun olmadığına, bir gerçek kişinin, yurt dışında yerleşik birden fazla veri sorumlusu için irtibat kişisi olarak atanmasının uygun bulunduğuna karar verilmiştir.

Ceza: İşlem tesis edilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/530

09/07/2020

Konu: Bir bankanın kişisel veri ihlali bildirimi.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen veri ihlali bildiriminde, bir banka personelinin 23 adet banka müşterisinin Türkiye Bankalar Birliği Risk Merkezi (“KBB”) skorlarını veya TCKN bilgisini 01.01.2019 ile 05.12.2019 tarihleri arasından Whatsapp uygulaması aracılığıyla bir tanıdığı (3.kişi) ile paylaştığının tespit edildiği, ihlal ile ilgili olan personelin son bir yıl içerisinde kişisel veri koruma eğitimi aldığı belirtilmiştir. Kurul tarafından yapılan değerlendirmeler neticesinde, kişi sayısı göz önüne alındığından 23 kişiden fazla kişinin etkilenmiş olabileceği, veri sorumlusu tarafından personelin KKB sorgularının sınırlandırılmadığı ve çalışana verilen eğitimlerin yeterli olmadığına karar verilerek KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik yeterli teknik ve idari tedbirlerin alınmadığına karar verilmiştir.

Ceza: 200.000,00-TL idari para cezasının uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/511

30/06/2020

Konu: Bir sigorta şirketinin veri ihlal bildirimi hakkında.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen veri ihlali bildiriminde sağlık sigortası müşterilerine yönelik eczane provizyon uygulamasının 2018 yılında değiştirilmesi esnasında, sürekli ilaç kullanım raporu olan 683 farklı müşterinin ilaç geçmişinin yeni sisteme aktarılması amacıyla oluşturulan excel dosyasının kimlik ve ilaç kullanım bilgilerini içerdiği, sisteme kişi bazlı giriş yapılması sırasında excel dokümanın sehven bütün halinde yüklendiği belirtilmiştir. ihlalden 683 kişi etkilenirken, kayıt sayısının ise 2413 olduğu belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde Kişisel Veri Güvenliği Rehberi’nin Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi’ne ilişkin yükümlülüklere uyulmadığına, özel nitelikli kişisel verilerin işlenmesinde “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”in göz önünde bulundurulmadığına karar verilerek KVKK’nın 12’nci maddesinin 1 numaralı fıkrası hükmü çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığına karar verilmiştir.

Ceza: KVKK’nın 18’nci maddesinin 1 numaralı fırkasının b bendi uarınca 100.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/504

30/06/2020

Konu: Veri sorumlusu bir havayolu şirketi tarafından ilgili kişiye ait çağrı merkezi görüşme kayıtlarının transkriptinin teslim edilmemesi.

Kararı Paylaşın

Karar Özeti:

Kurul’a yapılan başvuru kapsamında ilgili kişinin havayolu şirketi çağrı merkeziyle yapmış olduğu görüşme kayıtlarının talep etmesi üzerine veri sorumlusu tarafından bunun yalnızca yasal mercilerle paylaşılmasının mümkün olduğunu belirtmiştir. Kurul taraf tarafından yapılan incelemeler neticesinde, KVKK’nın 11’inci maddesinde düzenlenen kişinin kendisine ait işlenen veriler üzerinde bilgi talep etme hakkının erişim hakkını da kapsadığını; veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri de dikkate alınarak, işlenen kişisel verilerin, teknik/fiziki imkânların el verdiği ölçüde ve verinin içeriğine ilgili kişi tarafından makul bir şekilde ulaşılabilmesine imkân tanınmasını içerdiği belirtilmiştir. Bu kapsamda, veri sorumlusu tarafından görüşme kayıtlarının, transkript şeklinde iletilmesinin KVKK’ya uygun olduğuna karar vererek herhangi bir idari işlem tesis etmemiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/507

30/06/2020

Konu: Ölenin sağlık verisinin yasal mirasçısı tarafından talep edilmesi.

Kararı Paylaşın

Karar Özeti:

Kurul’a iletilen şikayette İigili kişi vefat eden babasının mirasçısı olduğunu gösterir mirasçılık belgesi ile a babasına ait kayıtlı tüm sağlık verilerinin tarafına iletilmesini ilgili kamu kuruluşundan talep etmiş ancak ilgili kurum tarafından talebinin reddedilmesine ilişkin olarak, Kurul tarafından yapılan inceleme sonucunda ilgili kişinin vefat eden babasının yasal mirasçısı olarak söz konusu verileri Kişisel Sağlık Verileri Hakkında Yönetmelik kapsamında talep edebileceğine ancak Kurum’a yapmış olduğu başvurunun Kanun kapsamında değerlendirilemeyeceğine karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/508

30/06/2020

Konu: Bazı avukatların, avukat sorgulama siteleri ile ilgili ihbar başvuruları.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, muhtelif avukat sorgulama sitelerinde ilgili kişilere ait ad soyadı, kayıtlı bulundukları baro, baro ve Türkiye Barolar Birliği sicil numaraları, e-posta adresleri ve fotoğraflarının yayımlandığı, söz konusu verilerin rızaları olmaksızın hukuka aykırı olarak elde edildiği ve yayımlandığı belirtilmiştir. Kurul tarafından yapılan incelemeler sonucunda, bahsi geçen internet sitelerinden birçoğuna ulaşılamadığı, erişilebilen sitelerde ise ilgili kişilerden sadece birinin profilinin bulunduğu, bu profilde ise yalnıza ilgili kişinin e-posta adresinin yer aldığı ve bu bilginin ilgili kişinin kayıtlı olduğu ilin baro levhası ve TBB resmi internet sitesindeki profilinde de yer aldığı KVKK’nın 4’üncü maddesindeki genel ilkelere aykırı bir işleme faaliyeti olmadığına, bu kapsamda KVKK kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

Ceza: Bir işlem tesis edilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/494

25/06/2020

Konu: İlgili kişinin bir kargo şirketine karşı açtığı işe iade davasında, kişisel verisi olan kamera görüntülerinin kargo şirketi tarafından mahkemeye sunulması” hakkında.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, İlgili kişinin kargo şirketine karşı açtığı işe iade davasında kargo şirketinin ilgili kişinin verisi olan kamera görüntülerini mahkemeye sunması üzerine; ilgili kişi bu görüntülerin yalnızca kendisine bildirim yapılarak alındığı, açık rızasının alınmadığı gerekçesine dayanarak Kurum’a başvuruda bulunmuştur. Kurulun yapmış olduğu inceleme sonucunda; Veri sorumlusunun posta gönderilerinin görüntüleme cihazları ile kontrolünü öngören kanun hükmü gereği aydınlatma bildirimde bulunduğu fakat açık rıza alınmayan bu veri işleme faaliyetinin “Kanunlarda açıkça öngörülmesi” hukuki sebebine dayanılarak yapılmasının hukuka uygun olduğuna ve Kanun kapsamında yapılacak bir işlem olmadığına karar verilmiştir.

Ceza: İşlem tesis edilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/471

23/06/2020

Konu: Ülkemizde temsilciliği bulunan bir yabancı bankanın, verdiği hizmetler kapsamında kişisel verilerin işlenmesi bakımından 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca veri sorumlusu statüsünü taşıyıp taşımayacağı ve Sicile kayıt yükümlülüğü hakkında.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından Kurul’a yapılan görüş talebi sonucunda, veri sorumlusu bankanın sağladığı finansman hizmetleri kapsamında Türkiye’de mukim kişilerin kişisel verilerini işlediği, bu kapsamda bankanın temsilciliğinin ülkemizde gerçekleştirdiği faaliyetler ile bankanın bankacılık faaliyetleri çerçevesinde gerçekleştirdiği kişisel veri işleme faaliyetlerinin ayrı tutulamayacağı belirtilerek, bankanın temsilciği vasıtasıyla Türkiye’de sürekli mevcudiyeti bulunduğu belirtilerek kişisel veri işleme faaliyetleri açısından KVKK’nın uygulama alanı bulacağı ve bankanın veri sorumlusu sıfatını haiz olduğu belirtilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/466

16/06/2020

Konu: Bir sigorta şirketinin acentesinde gerçekleşen veri ihlali hakkında.

Kararı Paylaşın

Karar Özeti:

Kurum’a iletilen veri ihlal bildiriminde, sigorta şirketinin bir acentesinde işletmelerine ait bilgisayar ekranına bir hacker tarafından erişim sağlanmasıyla ihlalin gerçekleştiği, acente tarafından kullanılan bilgisayarlarda yazışma ekranının açıldığı, yetkisiz kişinin bu ekran aracılığıyla iletişim kurup fidye istediği, saldırının bu şekilde tespit edildiği, ihlalden etkilenen kişi sayısının 172 olduğu, ihlalden etkilenen kişisel veri kategorilerinin kimlik ve finans verileri olduğu belirtilmiştir. Kurul tarafından yapılan incelemeler neticesinde veri işleyen tarafından anti-virüs yazılımının kullanılmaması, güncel Windows işletim sisteminin kullanılmaması, sızma testlerinin yapılmadığı göz önüne alınarak KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.

Ceza: 172.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/464

16/06/2020

Konu: Bir otoyol işletmesinin veri ihlal bildirimi hakkında karar.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından yapılan veri ihlal bildiriminde, kullanılan bordro sistemlerinden kaynaklı bir hata sebebiyle çalışanların diğer çalışanlara ait bordro bilgilerinin görüldüğü ve ihlalden etkilenen kişi sayısının 489 olduğu belirtilmiştir. Kurul tarafından yapılan inceleme sonucunda veri güvenliğini sağlamya yönelik gerekli teknik ve idari tedbirlerin alınmaması sebebiyle veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.

Ceza: 60.000,00-TL idari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2020/435

28/05/2020

Konu: Bir kargo firmasında çalışan ilgili kişinin iş akdinin haksız feshedilmesi sonrası özlük dosyası kapsamında yer alan kişisel verilerinin birer suretinin tarafına verilmesi talebine veri sorumlusu tarafından cevap verilmemesi.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, ilgili kişi iş akdinin haksız olarak feshedilmesi sonucunda özlük dosyasında yer alan kişisel verilerin birer suretini talep etmiş fakat talebe veri sorumlusu olan kargo firması tarafından yanıt verilmemiştir. Kargo firması tarafından yapılan savunmada KVKK’nın 11’inci maddesinde belge örneği talebinin düzenlenmemiş olduğunu ve bu sebeple işçinin bu maddeye dayanamayacağını, ilgili kişi tarafından verilmiş olan ve talep edilen dilekçelerin Kanun kapsamında “Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla” işlenen veri olmadığını, Anayasa’nın 38’inci maddesi uyarınca susma hakkının kullanıldığını, nitekim aleyhine açılmış davada bu belgelerin delil olarak kullanılacağını, ilgili başvurunun yargı merciinin alanına girdiğini bu nedenle reddedilmesi gerektiğini ileri sürmüştür. Kurulun yapmış olduğu inceleme sonucunda veri kavramının belirli veya belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade ettiği, ” doktorun reçetesi doktorun kişisel verisidir.” kararına atıf yaparak işçiye ait verilerin yer aldığı belgeleri kişisel veri olarak ve bu minvalde özlük dosyasında bu bilgilerin tutulması veri işleme faaliyeti olarak kabul edilmiştir. Şikayet konusunun kişisel verilere ilişkin olduğu ve suç unsuru oluşturmadığına kanaat getirilmiş, ayrıca açılan davanın kişisel verilere ilişkin olmadığı gerekçesiyle kişisel verilere ilişkin yönünün Kurul tarafından ele alınmasında bir sakınca olmadığı ifade edilmiştir.

Ceza: İşlem tesis edilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/429

28/05/2020

Konu: İlgili kişinin kişisel verilerinin, hakkında icra takibi yapan avukat tarafından hukuka aykırı olarak işlenmesi ve açıklanması ile ilgili şikayet.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, ilgili kişi tarafından banka borcundan dolayı, hakkında bankanın vekili olan avukat tarafından icra takibinin başlatıldığı, 27.11.2018 tarihinde kendisiyle birlikte aynı sosyal tessite ikamet eden sayısını tam olarak bilmediği iş arkadaşlarının kendi üzerinelerine kayıtlı cep telefonlarına ve ilgili kişinin ağabeyinin cep telefonuna ilgili kişinin adını ve haciz talimatını içeren kısa mesajlar gönderildiği belirtilmiştir. Kurul tarafından yapılan inceleme neticesinde, Veri sorumlusu avukat tarafından, ilgili kişinin ağabeyi ve iş arkadaşlarının telefon numaralarının varsayımlara dayanan ve tam olarak ispatlanamayan bir şekilde elde edilmesi, akabinde şikayetçi ilgili kişiye ait borç bilgilerinin yani kişisel verilerin bu numaralarla paylaşılmasının; ayrıca ilgili kişinin T.C. kimlik numarası kullanılmak suretiyle GSM aboneliklerinin ve borçlarının sorgulanmasının Kanun hükümlerine aykırılık teşkil ettiği, bu suretle kişisel verilerin hukuka aykırı olarak işlenmesini önleme ve kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülüğünü yerine getirmediği ve genel ilkelere aykırı hareket ettiği dikkate alındığında, veri sorumlusunca yürütülen veri işleme faaliyetinin KVKK’nın 12’nci maddesinin 1 numaralı fıkrasına aykırılık teşkil etmesi nedeniyle KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca hakkında 125.000 TL idari para cezası uygulanmasına karar verilmiştir.

Ceza: 125.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/414

22/05/2020

Konu: Hakkında hüküm verildiği suçtan dolayı cezası infaz edilen ilgili kişiye ait haberin yayımlandığı gazetenin internet sitesinden kaldırılması talebi hakkında.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda, İlgili kişinin “Google” arama motorunda adının ve soyadının aratılması sonucunda 2009 yılında hüküm verildiği suçtan dolayı infaz etmiş olduğu cezaya ilişkin yer alan haberin kişinin iş ve aile hayatını olumsuz etkilediği gerekçesiyle gazetenin internet sitesinden kaldırılması talep edilmiştir. Kurulun yapmış olduğu inceleme sonucunda; haberin kamu ilgi ve yararı taşıması; gerçek ve güncel olması; özü ile biçimi arasında denge olması ölçütlerini sağladığı, habere konu olan olayın mahkeme kararıyla kanıtlanmış olduğu ve hala gündemde olduğu gözlemlenmiştir. Çatışan haklar bakımından ifade özgürlüğünün kişilik hakkından daha üstün gelmesi sonucu yapılacak bir işlem olmadığına karar verilmiştir.

Ceza: İşlem tesis edilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/404

20/05/2020

Konu: İşverenin, işçisine ait kişisel verileri ile özel nitelikli kişisel verileri; aydınlatma yükümlülüğünü yerine getirmeden ve hukuka aykırı işlemesi.

Kararı Paylaşın

Karar Özeti:

İlgili kişi tarafından Kurul’a yapılan şikayet sonucu yapılan değerlendirmeler neticesinde, veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmemesi sebebiyle veri sorumlusu hakkında KVKK’nın 18’inci maddesinin birinci fıkrasının a bendi uyarınca idari para cezası uygulanmasına, veri sorumlusunun çalışanlarının ve yakınlarının açık rızaları olmaksızın kişisel verilerini ve özel nitelikli kişisel verilerini işlediği, işlediği özel nitelikli kişisel veriler bakımından KVKK’nın 4’üncü maddesinde yer alan genel ilkelerden ölçülülük ilkesine aykırı hareket ettiği ve bu verileri yine çalışanlarının açık rızası olmaksızın yurtiçi ve /veya yurtdışına aktarması sebebiyle, KVKK’nın 12’nci maddesinin birinci fıkrasında yer alan gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırılık sebebiyle veri sorumlusu hakkında KVKK’nın 18’inci maddesinin 1 numaralı fıkrasının b bendi uyarınca idari para cezası uygulanmasına karar verilmiştir.

Ceza: 250.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

2020/396

20/05/2020

Konu: İlgili kişinin, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili özel nitelikli kişisel verilerinin özlük dosyasından çıkarılması talebi.

Kararı Paylaşın

Karar Özeti:

Veri sahibi ilgili kişi tarafından Kurul’a işe girişte özlük dosyasına eklenmek üzere ceza mahkumiyeti bilgilerini içerir adli sicil kaydının veri sorumlusu işverene verdiği ancak denetim süresinin sona erdiği, sicil kaydından ilgili kaydın silindiği ve veri sorumlusundan nezdinde bulunan adli sicil kaydının imhasını talep ettiğini bildirdiği başvuruda, Kurul tarafından yapılan değerlendirme sonucunda KVKK kapsamında özel nitelikli kişisel verilerin işlenmesine ilişkin kanunilik unsurunun öğretide ifade edilen maddi kanun olarak değerlendirilmesi gerektiği belirtilerek Devlet Personeli Başkanlığı’ndan alınan görüş ve 2 Seri No’lu Kamu Personeli Genel Tebliği hükümleri kapsamında sözü edilen kararların özlük dosyasından çıkarılmasına yer olmadığına karar verilmiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?